BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

ThS. PHẠM DUY TRUNG, KS. HỒNG THANH NAM

GIÁO TRÌNH

THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG

HÀ NỘI, 2013

1


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

ThS. PHẠM DUY TRUNG, KS. HỒNG THANH NAM

GIÁO TRÌNH

THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG

HÀ NỘI, 2013

2


MỤC LỤC

CHƯƠNG 1 GIỚI THIỆU VỀ THU THẬP VÀ PHÂN TÍCH THƠNG

TIN AN NINH MẠNG.....................................................................................6
1.1 KHÁI NIỆM..................................................................................6
1.2 MỤC ĐÍCH, VAI TRỊ, Ý NGHĨA VÀ U CẦU......................6
1.2.1 Mục đích.................................................................................6
1.2.2 Vai trị, ý nghĩa.......................................................................9
1.2.3 Yêu cầu.................................................................................12
1.3 PHÂN LOẠI DỮ LIỆU THU THẬP..........................................13
1.3.1 Thông tin..............................................................................13
1.3.2 Gỡ lỗi....................................................................................13
1.3.3 Thông báo.............................................................................13
1.3.4 Lỗi........................................................................................14
1.3.5 Cảnh báo...............................................................................15
1.4 GIỚI THIỆU MỘT SỐ CÔNG CỤ, GIAO THỨC, ĐỊNH DẠNG
CHO THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG......16
1.4.1 Wireshark.............................................................................16
1.4.2 tshark....................................................................................25
CHƯƠNG 2 THIẾT LẬP HỆ THỐNG THU THẬP THÔNG TIN AN
NINH MẠNG..................................................................................................27
2.1 Kiến trúc và thành phần hệ thống...............................................28
2.1.1 Thu thập trên host.................................................................28
3


2.2.2 Thu thập trên mạng..............................................................29
2.2 Mơ hình triển khai.......................................................................29
2.2.1 Triển khai chủ động..............................................................29
2.2.2 Triển khai thụ động..............................................................30
2.2.3 Honeypot/Honeynet.............................................................38
2.3.2 Phương thức thu thập sự kiện...............................................49
CHƯƠNG 3. QUY TRÌNH THU THẬP VÀ PHÂN TÍCH..................53

3.1 Thu thập và tập hợp dữ liệu.........................................................53
3.2 Sàng lọc, chuẩn hóa và tương quan dữ liệu................................55
3.3 Phân tích dữ liệu..........................................................................61
3.4 Tổng hợp và lập báo cáo.............................................................67
CHƯƠNG 4. KỸ THUẬT PHÂN TÍCH CƠ BẢN..............................74
4.1 Phân tích gói tin..........................................................................74
4.1.1 Phân tích giao thức...............................................................74
4.1.2 Phân tích nội dung gói tin....................................................81
4.2 Phân tích luồng dữ liệu................................................................85
4.2.1 Lọc dữ liệu...........................................................................86
4.2.2 Lựa chọn các giá trị nổi bật..................................................86
4.2.3 Chuẩn đốn...........................................................................86
4.3 Phân tích nhật ký sự kiện..........................................................102
4.4.1 Phân tích sự kiện trong hệ thống Windows........................104
4.4.2 Phân tích sự kiện trong hệ thống UNIX/Linux..................114
CHƯƠNG 5 KỸ THUẬT PHÂN TÍCH NÂNG CAO.......................127
5.1 Phân tích thống kê.....................................................................127
4


5.1.1 Phân tích tần suất...............................................................128
5.1.2 Đường cơ sở (Baseline)......................................................128
5.1.3 Học máy (Machine Learning)............................................132
5.2 Khai phá dữ liệu nhật ký...........................................................136
5.2.1 Khái niệm khai phá dữ liệu................................................136
5.2.2 Khai phá dữ liệu nhật ký....................................................136
5.2.3 Quá trình khai phá dữ liệu..................................................137
5.2.4 Kỹ thuật phân tích bản ghi.................................................138
5.3 Phân tích dữ liệu trên WLAN...................................................145
5.3.1 Phân tích phổ......................................................................149

5.3.2 Thu thập dữ liệu thụ động trên mạng khơng dây...............150
5.3.3 Phân tích giao thức 802.11.................................................151
TÀI LIỆU THAM KHẢO...................................................................171
PHỤ LỤC............................................................................................172

5


CHƯƠNG 1 GIỚI THIỆU VỀ THU THẬP VÀ PHÂN TÍCH
THƠNG TIN AN NINH MẠNG
1.1 KHÁI NIỆM
Thông tin an ninh mạng là những thông tin ghi lại các hoạt động của
hệ thống mạng
giúp người quản trị mạng khám phá ra nguồn gốc của các tấn công an
ninh vào hệ thống mạng hoặc những vấn đề khác trong hệ thống mạng.
Thu thập và phân tích thơng tin an ninh mạng thực hiện nhiệm vụ thu
thập các dữ liệu, sự kiện thông tin an ninh mạng và phân tích chúng với mục
đích phát hiện ra các tấn công, các lỗi và lỗ hổng trong hệ thống từ những dữ
liệu nhật ký lưu lại được.
Việc thu thập và phân tích thơng tin an ninh mạng có thể được thực
hiện trực tuyến hoặc ngoại tuyến.
Dữ liệu nhật ký chứa các thông tin ghi lại được trong hệ thống. Ví dụ,
một máy chủ web sẽ thường xuyên lưu lại bất cứ khi nào một người nào đó
truy cập tài ngun (hình ảnh, tập tin, vv…) trên một trang web. Nếu người
dùng truy cập trang đã được xác thực, thông tin lưu lại sẽ chứa tên của người
dụng (username). Đây là một ví dụ về dữ liệu nhật ký: chúng ta có thể sử
dụng tên người dùng (username) để xác định người nào đang truy cập tài
nguyên.
6



Các sự kiện cần được lưu lại trong một các mục phân loại sau:
- Sự kiện liên quan chính sách truy cập và quản trị
- Sự kiện liên quan đến chính sách bảo mật dữ liệu và tồn vẹn dữ liệu
- Sự kiện liên quan đến độ sẵn sàng
- Sự kiện liên quan đến chính sách mật mã
1.2 MỤC ĐÍCH, VAI TRỊ, Ý NGHĨA VÀ U CẦU
1.2.1 Mục đích
Thu thập và phân tích thơng tin an ninh mạng cho biết những gì đang
điễn ra trên hệ thống mạng, từ thơng tin hiệu năng mạng đến phát hiện điểm
yếu, lỗ hổng và các xâm nhập trái phép, … Các dữ liệu thu thập này là một
nguồn thông tin tốt để xác định những gì đang xảy ra sau một sự cố an ninh
trong hệ thống mạng. Ngoài ra, những dữ liệu này còn cung cấp các bằng
chứng đối với các hoạt động phá hoại của tin tặc, phục vụ cho công tác “điều
tra số”
Dưới đây là một số mục đích chính của việc thu thập và phân tích thơng
tin an ninh mạng.
Quản lý tài nguyên
7


Nhật ký không chỉ cho chúng ta biết rằng một máy chủ đang hoạt động,
mà còn cho chúng ta biết các ứng dụng nào đang chạy trên máy chủ đó. Việc
hỏng hóc, sự cố trên phần cứng và phần mềm, sẽ được lưu lại trong các dữ
liệu nhật ký trước khi hệ thống thực sự hỏng hóc. Và khi hồi phục sau một
hỏng hóc, việc đăng nhập thường xuyên giúp chúng ta tìm ra ngun nhân.
Dưới đây là một ví dụ điển hình của một hỏng hóc mà chúng ta có thể tìm
thấy trong các log:
May 21 08:33:00 foo.example.com kernel: pid 1427 (dd), uid 2 inumber
8329 on /var: filesystem full


Thông báo trên cho thấy rằng hệ thống tập tin var trên máy chủ đã bị đầy.
Phát hiện xâm nhập trái phép
Thông tin an ninh mạng được lưu lại (như các bản ghi NIDS) rất hữu
ích cho phát hiện xâm nhập. Ví dụ:
Sep 17 07:00:02 host.example.com: sshd[721038]: Failed password for
illegal user erin from 192.168.2.4 port 44670 ssh2

Thông tin đăng nhập này cho thấy một đăng nhập không thành công,
bằng cách sử dụng tên người dùng erin. Những từ người sử dụng bất hợp
pháp xuất hiện vì khơng có tài khoản đó trên hệ thống. Thông báo này là kết
quả của một kẻ tấn công sử dụng một bộ công cụ quét ssh cố gắng để đăng
nhập vào một máy chủ thông qua SSH, sử dụng một tập hợp các tên người
dùng phổ biến và mật khẩu thường được sử dụng. Ví dụ này được chọn từ
một tập hợp của hàng ngàn dò quét được thực hiện trong một khoảng thời
gian rất ngắn.
Chúng ta cùng xem một thông điệp từ Snort, một NIDS mã nguồn mở
Jan 2 16:19:23 host.example.com snort[1260]: RPC Info Query: 10.2.3.4
-> host.example.com:111
Jan 2 16:19:31 host.example.com snort[1260]: spp_portscan: portscan
status from 10.2.3.4: 2 connections across 1 hosts: TCP(2), UDP(0)

Các thông điệp này cho thấy rằng kẻ tấn công đã thực hiện quét cổng
trên mạng tìm kiếm máy chủ chạy dịch vụ rcp.statd, do dịch vụ này có chứa
một số lỗ hổng mà kẻ tấn cơng có thể lợi dụng khai thác. Các thông điệp này
cũng cho thấy rằng việc quét cổng đã thành công trong việc kết nối đến hai
máy trong mạng.
8



Xử lý sự cố
Các bản ghi rất có giá trị trong việc đánh giá và xử lý sự cố nói chung
và sự cố an ninh nói riêng, từ những thơng tin thu thập được giúp chúng ta tìm
ra nguyên nhân gây ra sự cố, từ đó tìm ra các biện pháp khắc phục và phòng
tránh sự cố.
Điều tra số
Điều tra số là quá trình xây dựng một hình ảnh của "những gì đã xảy
ra" sau khi sự kiện kết thúc. Hình ảnh thường được xây dựng ra các thơng tin
khơng đầy đủ, nhưng độ tin cậy của thông tin là rất quan trọng. Các log có thể
là một phần thiết yếu của q trình điều tra đó.
Nhật ký, một khi đã được ghi lại, không bị thay đổi thông qua q trình
sử dụng bình thường của hệ thống, có nghĩa là họ là một loại hồ sơ "thường
trú". Như vậy, họ có thể cung cấp một bổ sung phần nào chính xác các dữ liệu
khác trên hệ thống mà có thể dễ bị thay đổi.
Thông thường trên dữ liệu thu thập thường có ghi lại thời điểm thu
nhận được và lưu lại trên mỗi bản ghi, chúng giúp cung cấp trình tự thời gian
của các sự kiện, khơng chỉ cho biết những gì đã xảy ra, mà nó cịn cho biết sự
việc xảy ra theo trình tự thời gian. Và các bản ghi về phía trước đến một máy
chủ (thường là một nhà sưu tập nhật ký trung tâm), cũng là nguồn cung cấp
bằng chứng cho thấy là riêng biệt từ các nguồn có nguồn gốc. Nếu tính chính
xác của các thông tin về nguồn gốc được gọi vào câu hỏi (chẳng hạn như vấn
đề của một kẻ xâm nhập có thể đã thay đổi hoặc xóa các bản ghi), các nguồn
riêng biệt của thơng tin có thể được xem là một bổ sung, nguồn đáng tin cậy
hơn.
Tương tự như vậy, các bản ghi từ các nguồn khác nhau, có thể chứng
thực bằng chứng khác và củng cố tính chính xác của các nguồn nhật ký. Bản
ghi phục vụ để củng cố chứng cứ khác được thu thập. Thường, tái tạo lại hình
ảnh của một sự kiện khơng dựa trên một phần hoặc nguồn gốc của thông tin,
nhưng dữ liệu từ nhiều nguồn khác nhau: các tập tin và thời gian của mình
trên hệ thống, lịch sử lệnh người sử dụng, dữ liệu mạng, và các bản ghi. Thỉnh

thoảng các bản ghi có thể bác bỏ bằng chứng khác, mà tự nó có thể cho thấy
9


các nguồn khác đã bị hỏng (ví dụ như bởi một kẻ xâm nhập). Bằng chứng thể
hiện trong bản ghi là lần gián tiếp hoặc khơng đầy đủ. Ví dụ, một bản ghi có
thể hiển thị một hoạt động cụ thể, nhưng khơng ai đã làm nó. Hoặc, như một
ví dụ, q trình nhật ký kế tốn hiển thị những gì lệnh người dùng đã chạy,
nhưng khơng phải là đối số cho các lệnh. Vì vậy, các bản ghi có thể không
luôn luôn được sử dụng như là một nguồn duy nhất của thông tin. Mặc dù, khi
một máy chủ bị tấn cơng, các bản ghi có thể là nguồn thông tin duy nhất đáng
tin cậy, cung cấp máy chủ đã được chuyển tiếp bản ghi tới một máy chủ trung
tâm đăng nhập.
Các bản ghi cho đến thời điểm máy chủ đã bị xâm nhập có thể được tin
cậy, nhưng các bản ghi sau khi bị tấn công là nghi ngờ tốt nhất. Nhưng các
báo cáo mà bạn thu thập được đến sự kiện này có thể giúp làm sáng tỏ những
gì đã xảy ra hoặc chỉ cho bạn đi đúng hướng
1.2.2 Vai trị, ý nghĩa
Quy trình bảo vệ an ninh mạng có thể được tiến hành một chu trình
được mơ tả như sau:

Hình 1.1 Quy trình đảm bảo an ninh
Chu trình này bao gồm bốn giai đoạn:
10








Đánh giá (Assessment),
Bảo vệ (Protection),
Phát hiện (Detection),
Phản ứng (Response).

Hình 1.2 Các giai đoạn tấn cơng hệ thống
Ngày nay, có rất nhiều kỹ thuật để tấn công vào hệ thống mạng và hầu
hết các cuộc tấn công, xâm nhập thường khai thác các điểm yếu từ các nơi
như: hệ điều hành, ứng dụng, chương trình hoặc do cấu hình sai v.v… với
mục đích khai thác một trong bốn đặc tính về bảo mật: tính bí mật, tính xác
thực, tính tồn vẹn và tính sẵn sàng. Hình trên miêu tả 5 pha tấn công, xâm
nhập mà kẻ tấn công thường dùng:
11


- Pha 1 - Khảo sát thu thập thông tin: nhằm thu thập thông tin về nơi cần
tấn công
- Pha 2 - Dị tìm: sử dụng các thơng tin thu thập được từ pha 1 để tìm
kiếm thêm thơng tin lỗ hổng, điểm yếu của hệ thống mạng. Các công
cụ thường được sử dụng cho quá trình này là: các cơng cụ dùng qt
cổng, qt dãy địa chỉ IP, dị tìm lỗ hổng, v.v…
- Pha 3- Xâm nhập: các lỗ hổng, điểm yếu được dị tìm trong 2 pha ở trên
được sử dụng khai thác để xâm nhập vào hệ thống.
- Pha 4- Duy trì xâm nhập: Một khi kẻ tấn công đã xâm nhập được vào
hệ thống, bước tiếp theo là làm sao để duy trì các xâm nhập này để có
thể khai thác và xâm nhập tiếp trong tương lai. Một vài kỹ thuật được
sử dụng như backdoors, trojans. Một khi kẻ tấn công đã làm chủ hệ
thống chúng có thể sử dụng hệ thống để tấn cơng vào hệ thống khác,
trường hợp này hệ thống bị lợi dụng gọi là: zombie system.

- Pha 5- Che đậy, xóa dấu vết: Một khi kẻ tấn công đã xâm nhập và cố
gắng duy trì xâm nhập. Bước tiếp theo là phải làm sao xóa hết dấu vết
để khơng cịn chứng cứ pháp lý xâm nhập. Kẻ tấn cơng phải xóa các tập
tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
Pha 2 (dị tìm) và pha 3 (xâm nhập) kẻ tấn công thường làm lưu lượng,
kết nối mạng thay đổi khác với lúc mạng bình thường rất nhiều. Nếu phân tích
kỹ các bất thường này để rút trích ra các đặc trưng hữu ích của mạng có thể từ
đó phân tích, phát hiện các xâm nhập như: quét cổng, quét dãy địa chỉ IP, tấn
công từ chối dịch vụ (DoS), v.v…
Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 pha trên. Làm sao để
nhận biết tấn công, xâm nhập ngay từ hai pha đầu tiên (khảo sát thơng tin và
dị tìm thơng tin) là hết sức quan trọng, vì sẽ hạn chế tấn cơng, xâm nhập ở
những pha tiếp theo. Do vậy, thu thập phân tích thơng tin an ninh mạng đóng
vai trị quan trọng trong quy trình an ninh bảo vệ an ninh mạng và giúp người
quản trị mạng sớm phát hiện ra các pha tấn công đang diễn ra trong hệ thống
mạng.
1.2.3 Yêu cầu
12


Trong thu thập và phân tích thơng tin an ninh mạng cần đảm bảo một số
yêu cầu sau:
 Dự phòng: dữ liệu thu thập được cần được lưu trữ dự phòng ở nhiều
nơi khác nhau, giảm thiểu nguy cơ mất mát dữ liệu.
 Sử dụng và kết hợp phù hợp nhiều phương pháp, kỹ thuật đánh giá
khác nhau đảm bảo việc thu thập và phân tích thơng tin chính xác và
hiệu quả

1.3 PHÂN LOẠI DỮ LIỆU THU THẬP
Định dạng dữ liệu thu thập


Dữ liệu thu thập được thông thường được phân thành các nhóm sau:
1.3.1 Cung cấp thơng tin (Information)
Dữ liệu loại này được thiết kế để cho phép người dùng và quản trị biết
rằng một cái gì đó lành tính đã xảy ra. Ví dụ, Cisco IOS sẽ tạo ra các thông
khi hệ thống được khởi động lại. quan tâm phải được thực hiện, tuy nhiên.
Nếu khởi động lại, ví dụ, xảy ra ngồi bình thường bảo dưỡng, kinh doanh
giờ, bạn có thể có lý do để lo lắng.

13


Hình Windows Event Log trong Event Viewer
1.3.2 Trợ giúp gỡ lỗi (Debugging)
Thông điệp gỡ lỗi thường được tạo ra từ hệ thống phần mềm trong
đặt hàng để hỗ trợ các nhà phát triển phần mềm khắc phục sự cố và các vấn
đề với chạy mã ứng dụng.
1.3.3 Đưa ra thông báo (Warning)
Thơng báo có liên quan với tình huống nơi mà mọi thứ
có thể bị thiếu hoặc cần thiết cho một hệ thống, nhưng sự vắng mặt của mà sẽ
không hệ thống hoạt động tác động. Ví dụ, nếu một chương trình khơng được
đưa ra số lượng thích hợp các đối số dịng lệnh, nhưng nhưng nó có thể chạy
mà khơng cần họ, là điều mà chương trình có thể đăng nhập chỉ là một cảnh
báo cho người sử dụng hoặc điều hành.

14


1.3.4 Lỗi (Error)
Thông báo lỗi đăng nhập được sử dụng để chuyển tiếp các lỗi xảy ra ở

các cấp độ khác nhau trong một hệ thống máy tính. Ví dụ, một hệ điều hành
có thể tạo ra một lỗi đăng nhập khi nó khơng thể đồng bộ hóa bộ đệm vào đĩa.
Thật không may, nhiều thông báo lỗi chỉ cung cấp cho bạn một điểm khởi đầu
là tại sao chúng xảy ra. Tiếp tục điều tra thường được yêu cầu để có được ở
các nguyên nhân gốc rễ của lỗi

1.3.5 Cảnh báo (Alert)
Một cảnh báo là có nghĩa là để cho biết rằng một cái gì đó thú vị đã xảy
ra. Cảnh báo, nói chung, là những lĩnh vực thiết bị an ninh và bảo mật liên
quan hệ thống, nhưng đây không phải là một quy tắc cứng và nhanh chóng.
Một hệ thống ngăn chặn xâm nhập có thể ngồi trong dịng trên một mạng máy
tính, kiểm tra tất cả lưu lượng truy cập trong nước.
Nó sẽ đưa ra quyết định về việc có hay khơng một kết nối mạng nhất
định được cho phép thông qua dựa trên nội dung của các gói dữ liệu. Nếu IPS
15


gặp một kết nối đó có thể là độc hại có thể mất bất kỳ số lượng hành động cấu
hình sẵn. Việc xác định, cùng với hành động trên, sẽ được đăng nhập.

1.4 GIỚI THIỆU MỘT SỐ CÔNG CỤ, GIAO THỨC, ĐỊNH DẠNG
CHO THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG
Trong quyển giáo trình này, hai cơng cụ được sử dụng nhiều nhất trong
việc thu thập và phân tích thơng tin an ninh mạng là Wireshark và tshark.
Chúng ta sẽ tìm hiểu sơ lược về hai cơng cụ này. Trước hết chúng ta sẽ tìm
hiểu về định dạng mà hai ngôn ngữ này sử dụng để lưu trữ và hiển thị thơng
tin nó lưu trữ.
Ngơn ngữ đánh dấu chi tiết gói tin (PDML – Packet Details Markup
Language) và Ngơn ngữ đánh dấu tóm lược gói tin (PSML – Packet
Summary Markup Language)

Ngơn ngữ đánh dấu chi tiết gói tin (PDML) định nghĩa một chuẩn cho
việc thể hiện chi tiết gói tin từ tầng 2 đến tầng 7 theo chuẩn định dạng XML.
Cú pháp ngôn ngữ này ở mức độ nào đó thể hiện một cách cơ bản “khả năng
đọc được” giữa máy tính và con người. Các phần mềm máy tính phải được
lập trình để thơng dịch được ngơn ngữ này, con người có thể học để đọc hiểu
nó hoặc triển khai các cơng cụ khác để có thể sử dụng chúng. Ngơn ngữ đánh
dấu tóm lược gói tin (PSML) tương tự như ngôn ngữ XML cho việc thể hiện
những chi tiết quan trọng nhất của một giao thức.
PDML và PSML là một phần của bộ thư viện NetBee, bộ thư viện này
được thiết kế để hỗ trợ xử lý gói tin. PDML và PSML được tạo ra và được cấp
bản quyền bởi NetGroup nơi mà WinPcap cũng được phát triển đầu tiên.
Những chuẩn này được sử dụng bởi Wireshark và tshark.
1.4.1 Wireshark
16


1.4.1.1 Giới thiệu
Wireshark là công cụ rất mạnh cho việc phân tích gói tin, nó được tích
hợp sẵn các chức năng đọc hiểu các giao thức nên Wireshark có khả năng tự
động thông dịch và hiển thị chi tiết thông tin giao thức bên trong các gói tin.
Ngồi ra, nó cho phép chúng ta thực hiện sàng lọc dựa trên thông tin của các
trường xác định trong các giao thức nó hỗ trợ. Chúng ta cũng có thể tự viết
các tính năng này và tích hợp vào trong Wireshark dưới dạng plugins.

Hình 1.1 Màn hình chặn bắt gói tin trong Wireshark
1.4.1.2 Chức năng chính trong Wireshark
a) Chặn bắt gói tin
Sau khi cài đặt thành công Wireshark, chúng ta khởi động chương trình
và chọn thành phần trong Interface List để bắt đầu hoạt động. Ví dụ, nếu
muốn giám sát lưu lượng mạng qua mạng Wireless thì chọn card mạng Wifi

tương ứng. Nhấn nút Capture Options để hiển thị thêm nhiều tùy chọn khác:
17


Hình 1.2 Lựa chọn giao diện mạng để bắt gói tin trong Wireshark
Ngay sau đó, chúng ta sẽ thấy các gói dữ liệu bất đầu xuất hiện,
Wireshark sẽ chặn bắt từng gói tin ra và vào hệ thống mạng. Nếu đang giám
sát thông tin trên Wireless trong chế độ Promiscuous thì sẽ nhìn thấy các gói
dữ liệu khác trong tồn bộ hệ thống:

18


Hình 1.3 Thơng tin về các gói tin được chặn bắt
Nếu muốn tạm ngừng quá trình này thì các bạn nhấn nút Stop ở phía
trên, như hình dưới đây:

19


Tại đây, chúng ta sẽ thấy có nhiều màu sắc khác nhau, bao gồm: xanh lá
cây, xanh da trời và đen. Wireshark dựa vào cơ chế này để giúp người dùng
phân biệt được các loại traffic khác nhau. Ở chế độ mặc định, màu xanh lá cây
là traffic TCP, xanh da trời đậm là traffic DNS, xanh da trời nhạt là traffic
UDP và màu đen là gói TCP đang có vấn đề.

b) Lọc gói tin
Cách cơ bản nhất để áp dụng filter là nhập thơng tin vào ơ Filter, sau
đó nhấn Apply hoặc nhấn Enter. Ví dụ, nếu gõ dns thì chúng ta sẽ chỉ nhìn
thấy các gói dữ liệu DNS. Ngay khi nhập từ khóa, Wireshark sẽ tự động

hồn chỉnh chuỗi thông tin này dựa vào gợi ý tương ứng.
20


Hoặc nhấn menu Analyze > Display Filters để tạo filter mới:

21


Nhấn chuột phải vào từng package và chọn Follow TCP Stream:

22


Chúng ta sẽ thấy toàn bộ quãng thời gian giao tiếp giữa server và client:

Đóng cửa sổ này lại và filter sẽ tự động được áp dụng, Wireshark tiếp
tục hiển thị đầy đủ và chính xác các package có liên quan:

23


c) Thanh tra gói tin
Mặc định Wireshark hiển thị các gói tin với ba mục:
 Danh sách gói tin: phần này hiển thị các gói tin đã được chặn bắt, mỗi
gói tin một dịng với thơng tin sơ lượt, bao gồm: thời gian gói tin bị
chặn bắt, địa chỉ IP nguồn và địa chỉ IP đích, giao thức tầng cao nhất
được sử dụng trong gói tin và một số thơng tin khác trong nội dung gói
tin.
 Chi tiết nội dung gói tin: Đối với gói tin được tơ sáng trong danh sách

gói tin, nó chỉ ra chi tiết các giao thức ở tất cả các tầng mà Wireshark
có thể thơng dịch được
 Hiển thi byte trong gói tin: hiển thị dạng thập lục phân và định dạng
ACSII biểu diễn nội dung gói tin, bao gồm dữ liệu ở tầng 2.
24


Hình 1.4 Nội dung chi tiết gói tin trong Wireshark

Trong hình trên, trong khung 24, Wireshark xác định các giao thức
“Ethernet II”, “Internet Protocol” và “Transmission Control Protocol”. Nó
cũng chỉ ra các thông tin quan trọng trong mỗi giao thức (như cổng nguồn và
cổng đích cho giao thức TCP) và cho phép bạn khai thác sâu hơn nội dung
trong mỗi giao thức.
25